Cybereco lance une initiative stratégique pour propulser les PME québécoises vers les marchés de la défense

Communiqué de presse – pour diffusion immédiate

Montréal (Québec), Canada – 3 juin 2026

Conformité CMMC, PCCC, NIST 800-171 / ITSP.10.171 : pour les PME québécoises qui visent les chaînes d’approvisionnement stratégiques, les exigences de cybersécurité ne sont plus une option. Cybereco répond à l’urgence avec un programme concret, des outils partagés et une communauté de pratique.

Dans un contexte où les exigences de sécurité des chaînes d’approvisionnement militaires se durcissent des deux côtés de la frontière, Cybereco frappe fort. L’organisme montréalais, spécialisé dans le développement de l’écosystème québécois de la cybersécurité, dévoile aujourd’hui une initiative structurante visant à aider les entreprises d’ici à satisfaire aux certifications inévitables que sont le CMMC américain (Cybersecurity Maturity Model Certification) et le PCCC canadien (Programme canadien de certification en cybersécurité). Ce programme de soutien est développé avec l’appui du ministère de l’Économie, de l’Innovation et de l’Énergie.

Pourquoi maintenant ?

Le secteur de la défense vit une transformation profonde. Les gouvernements canadien et américain exigent désormais que leurs fournisseurs — y compris les sous-traitants de deuxième et troisième rang — démontrent un niveau de maturité élevé en matière de cybersécurité avant même de pouvoir déposer une soumission. Pour une PME manufacturière ou technologique qui rêve d’intégrer ces chaînes d’approvisionnement stratégiques, la certification n’est plus un avantage concurrentiel : c’est le billet d’entrée.

Problème : le chemin vers ces certifications est semé d’embûches. La norme NIST 800-171 et son adaptation canadienne ITSP.10.171, en constituent le socle, imposent à elles seules des pratiques de sécurité à documenter et à mettre en œuvre, avec respectivement 110 contrôles pour l’une et 98 pour la seconde. Sans accompagnement structuré, la plupart des PME se retrouvent seules face à une montagne de conformités.

Le Québec doit s’imposer dès maintenant en tant que chef de file en matière de défense et d’infrastructures critiques, afin d’aider les entreprises d’ici à répondre aux nouvelles exigences de ces marchés. Cette initiative permettra de renforcer leur préparation, leur résilience et leur compétitivité.

Bernard Drainville, ministre de l’Économie, de l’Innovation et de l’Énergie
Ce que Cybereco propose concrètement

L’initiative repose sur trois piliers complémentaires conçus pour supporter les PME du point de départ jusqu’à la certification :

  1. Une plateforme collaborative

CyberEco développera une plateforme numérique dédiée centralisant études de cas, guides validés par les pairs, questions-réponses et ressources pratiques. Un hub unique pour ne pas démarrer de zéro.

  1. Une trousse d’outils clés en main

Modèles de politiques de sécurité, matrices d’écarts, registres de risques, gabarits de preuves : autant d’outils alignés sur les normes NIST 800-171 / ITSP.10.171 qui permettront aux entreprises de structurer leur démarche sans partir d’une page blanche.

  1. Une communauté de pratique active

Des séminaires, des conférences et des ateliers réunissant des experts du ministère de la Défense nationale, des autorités américaines, des auditeurs certifiés et du Conseil canadien des normes. La connaissance partagée comme accélérateur de conformité.

Les nouvelles exigences de conformité représentent un défi majeur pour plusieurs PME québécoises. En développant des outils communs et des communautés de pratique, nous voulons accélérer la préparation des entreprises et favoriser leur intégration aux chaînes d’approvisionnement stratégiques.

Pascal Fortin, PDG, Cybereco
CMMC et PCCC : de quoi parle-t-on ?

Le Cybersecurity Maturity Model Certification (CMMC) est le cadre américain imposé par le Département de la Défense (DoD) à tous ses fournisseurs et sous-traitants. Il définit trois niveaux de maturité croissants. Le niveau 1 représente la mise en œuvre de pratiques fondamentales de cyber-hygiène. Le niveau 2 exige la conformité aux 110 pratiques de la norme NIST 800-171. Et le niveau 3 mobilise des protections avancées contre les menaces persistantes. Pour entrer dans une chaîne d’approvisionnement américaine, la certification est obligatoire.

Le Programme canadien de certification en cybersécurité (PCCC) est son pendant national. Il repose sur ITSP.10.171, une adaptation de la norme NIST 800-171. Également conçu sur trois niveaux de maturité croissants, le niveau 1 exige la conformité à 13 contrôles et le niveau 2 à 98 pratiques. En cours de déploiement par le gouvernement fédéral, il vise à harmoniser les exigences de sécurité pour les entreprises qui souhaitent œuvrer avec les Forces armées canadiennes et les ministères associés.

Ensemble, les deux certifications dessinent le nouveau paysage réglementaire de la défense nord-américaine.

Prochaines étapes et comment s’impliquer

L’initiative sera officiellement présentée le 3 juin 2026 lors d’un évènement réunissant représentants gouvernementaux, experts de la défense et chefs d’entreprise québécois. La première phase du programme a pour objectif d’aider les entreprises à atteindre un niveau de maturité de base, condition préalable à l’obtention des certifications CMMC et PCCC.

Les entreprises intéressées peuvent déjà s’informer et se préinscrire via les ressources suivantes :

  • Site de Cybereco : https://cybereco.ca
  • Ressources NIST 800-171 / ITSP.10.171 : documentation de référence à venir

À propos de Cybereco

Cybereco est un organisme mobilisateur dédié au développement de l’écosystème québécois de la cybersécurité, de la confiance numérique et de la résilience organisationnelle.

Contact médias : 

bastien Chamberland, Le Groupe Capital Hill

581-745-7168 • schamberland@capitalhill.ca